软件供应链安全现状与分析 王欣 研究员 主要内容 一、软件供应链主要安全风险 二、软件供应链安全挑战 三、国内外软件供应链安全保障措施 四、我国软件供应链现状及特殊性 五、软件供应链安全保障建议 一、软件供应链安全风险 软件产品和服务渗透到生产、生活的各个方面，软件定义世界 软件产品和服务渗透到生产、生活的各个方面，软件安全问题影响 社会的稳定运行，甚至影响国家安全 软件安全漏洞不可避免，传统软件安全问题仍然存在 • 软件工程，程序分析；安全漏洞、代码缺陷 • 2000年--2021年，安全漏洞数量呈逐年上升趋势。CNNVD共收 录安全漏洞171756个，其中2020年漏洞数量是2000年的18倍 软件供应链的客观存在扩大了软件安全的攻击面 软件供应链提供了新的攻击思路，带来了新的安全问题，使传统软 件安全问题更加显著。 一、软件供应链安全风险  软件供应链攻击事件频发，在数量和攻击复杂度上都呈现上升,软件供应 链攻击已经上升为国家行为，并取得了显著的攻击效果。  近80%的软件供应链攻 击为APT攻击，多起攻 击事件已经上升为国家 行为。  预计2021年的攻击将是 2020年攻击的四倍。 来源：ENISA THREAT LANDSCAPE FOR SUPPLY CHAIN ATTACKS 一、软件供应链安全风险  供应链攻击显著降低了攻击的难度,攻击类型多样化，攻击影响明显扩大 。 梳理2010年至2020 年发生的115起软件 供应链安全事件，从 软件生命周期的维度 进行分析，发现： 开发工具污染、恶意 代码植入、依赖混淆、 升级劫持等软件供应 链攻击频繁发生 来源：《Breaking Trust: Shades of Crisis Across an Insecure Software Supply Chain 》 一、软件供应链安全风险  软件供应链攻击可以针对软件生命周期的任何阶段。 软件研发生产各个阶段中 需求分析设计 的需求分析设计、编码开 开发工具 发，工具、设备、人员、 开发实现测试 制度等供应链基础设施， 库文件 外部组件 部署 供应链上游的代码、模块 和服务安全，交付渠道和 方式安全，以及使用、运 使用、维护、升级更新 维过程的安全 一、软件供应链安全风险  供应链攻击事件虽然大多发生在软件开发商、供应商、代理商或集成商的 层面，但是影响的是最终软件用户的网络安全、信息安全和数据安全。 2020 年12 月，软件厂商SolarWinds 遭到黑客组织 的入侵。黑客创建了高权限账户，对源代码包进行了 篡改，植入后门。此次攻击事件影响了包括北美、欧 洲、亚洲和中东的一些政府、咨询和技术公司至少 200家重要机构受害。其中，美国受害最严重。 2021年4月，软件单元测试覆盖度统计工具codecov 遭到攻击，统计脚本程序被植入恶意代码，导致数百 个客户的网络被访问。该工具覆盖的客户规模高达 2.9万，包括谷歌、IBM、宝洁等多家知名企业。 二、软件供应链安全挑战  软件供应链安全风险重重，给传统软件安全带来诸多挑战 挑战一：软件供应链安全风险可发生于供应链的任何环节 采购 需求分析 编码开发、测试 第三方组件使用 代码托管 外包集成 软件开发商/代理商 第三方组件供应商 开源社区/托管平台 外包开发商 系统集成商 监管机构、第三方测评机构 …… 代理交付 直接交付 下载获取 安装部署 软件开发商/代理商 系统集成商 软件用户 监管机构、第三方 测评机构 …… 使用操作 运营维护 更新升级 应急处置 开发环节 交付环节 使用环节 后门、漏洞、缺陷 代码托管风险 开发工具污染 管理风险 知识产权等法律风险 物流链劫持 下载劫持 捆绑下载 软件交付范围扩大 …… 运行环境污染 升级更新劫持 应急响应风险 供应链断供 …… 二、软件供应链安全挑战  软件供应链安全风险重重，给传统软件安全带来诸多挑战 挑战一：软件供应链安全风险可发生于供应链的任何环节 挑战二：开源代码的使用及普及，加剧软件供应链安全风险 开源供应 持续加速 —— 开源需求呈 爆炸式增长 —— 开源漏洞仍 最为普遍 —— 四大开源生态社区发布了 世界各地的开发者从四大开源生 29%的流行项目至少包含一个已知 6302733个新版本，并引入了 态系统中请求超过2.2万亿个开 的安全漏洞。存在已知开源软件漏 723570个全新项目。开源社区 源软件包，开发者下载的开源组 洞的项目占比近90%；存在已知高 总共包含37451682个不同版 件同比增长73%。组件间的依赖 危开源软件漏洞的占比超过80%； 本的组件，全球开放源代码供 层级关系导致组件间漏洞存在传 存在已知超危开源软件漏洞的项目 应年环比增长20%。 播风险。 占比超过70%。 二、软件供应链安全挑战  软件供应链安全风险重重，给传统软件安全带来诸多挑战 挑战一：软件供应链安全风险可发生于供应链的任何环节 挑战二：开源代码的使用及普及，加剧软件供应链安全风险 挑战三：国际竞争加剧，软件供应链完整性不断受到挑战  对国外产品、组件依赖较强，存在 断供风险  开源社区不完善，供应链上游环 节难以控制  开源许可证认识不足，存在 法律风险 二、软件供应链安全挑战  软件供应链安全风险重重，给传统软件安全带来诸多挑战 挑战一：软件供应链安全风险可发生于供应链的任何环节 挑战二：开源代码的使用及普及，加剧软件供应链安全风险 挑战三：国际竞争加剧，软件供应链完整性不断受到挑战 挑战四：软件复杂性、逻辑性、编码难度的不断提高，传统软件安全状况仍然严峻 以 Linux 为 例 ， 内 核 代码超过2700万行， 涉及内核已公开安全 漏洞超过6000个 对17个行业的1546个代码库进行审计，存在 漏洞的开源组件的代码库占84%，较2019年 上涨了9%。包含高风险漏洞的代码库的从 49%上升至60%。再次发现了2019年在代码 库中发现的十大开源漏洞，并且所有这些漏洞 的百分比均有显著增加。 三、国内外软件供应链安全保障措施  美国、俄罗斯、欧盟等国家和地区将信 息通信技术（ICT）供应链保障上升到 战略地位，尤其是美国在法律法规、标 准制度建设等方面，形成了较为完善的 软件供应链风险管控体系。 三、国内外软件供应链安全保障措施  拜登签署《关于改善国家网络安全的行政命令》 三、国内外软件供应链安全保障措施  我国软件供应链面临复杂的内外部环境，虽然起步较晚，但在相关政策、法规及标准 等方面，已经形成了覆盖范围更广、目标更明确的成果。 四、我国软件供应链现状及特殊性  我国软件供应链安全具有一定的特殊性，软件供应链安全面临严峻安全风险 国内95%以上的软件均使用 了开源组件，软件用户对大 量软件/组件的滥用、扩大范 围使用等情况也非常严重。 国内70%的软件开发人 员从业经历不足5年。 软件/组件 软件开发水 滥用情况突 出 软件获取渠 不规范的获取方式普遍存在， 所谓绿色软件、破解软件等 能够较为方便的获取，给软 件供应链带来了安全风险。 道多样化 平参差不齐 开源社区发 重要领域对 展不完善 国外软件依 赖较强 关键软件技术方面还无法实现完 全自主研发可控，诸多核心行业 的软件依赖进口，为我国的软件 供应链安全留下了难以估量的安 全隐患 五、软件供应链安全保障建议  构建软件供应链安全保障模型，面向供应链环节，对供方、需方、监管方、 第三方等供应链参与主体的供应链行为，从政策法规、标准规范、技术实现 与检测评估等四方面提出并实施保障 供应链环节 政策法规 保 障 措 施 标准规范 技术实现 检测评估 第 三 监 方 管 需 供 方 方 方 五、软件供应链安全保障建议  政策法规 • 应加强引导、协调、监督和管控，政策法规、制度规范先行 职能部门加强战略引导和统筹协调，形成长效工作机制 政策 法规 制定相关政策、法规和要求 加强对软件供应链安全的监督和管控 五、软件供应链安全保障建议  标准规范 • 制定形成软件供应链安全保障体系标准，为软件供应链安全保障活动提供参考依据 全面覆盖：实现对软件供应链环节的全覆盖，软件供应链行为的全 涉及，管理规范、安全要求、评估指标全囊括，形成对 软件供应链的整体防护和保障 分级保障：通过识别软件功能、应用场景等，实施软件供应链安全 分级安全保障 实施指南：为软件供应链保障措施落地实施提供系列指导和指南 五、软件供应链安全保障建议  技术实现 需方 供方 第三方 引入供应链风险管理，应 建立完备的供应链安全管 理制度 制定软件供应链风险管理 方案 建立软件供应链安全风险 分析、检测和管控平台 提高软件供应链的自主可 控程度，构建自有组件库， 开展软件成分分析，形成 可靠的软件供应链 引入第三方开展软件供应 链安全审查、审计和评估 将软件供应链安全的相关 工作纳入产品测评、系统 测评等工作中 建立完善的供应链安全应 急响应机制 加强对软件供应商的管理 加强对重要信息系统中软 件供应链的测试、评估和 审查 五、软件供应链安全保障建议  检测评估 开发环节 交付环节 面向软件供应链环节 软件供应商能力评估 ，构建集管理能力与 供应链基础设施安全评估 技术安全为一体的全 流程软件供应链安全 检测与评估机制，形 成体系化、标准化的 软件成分分析 代码克隆检测 漏洞分析、检测与挖掘 许可证分析检测 软件数据安全评估 交付过程安全评估 运行过程安全评估 软件供应链安全解决 方案，全面保障软件 安全 使用环节 运维能力评估 应急处置能力评估 软件供应链安全管理评估